L’industrie des ransomwares a explosé en 2023, avec une augmentation alarmante de 55,5 % du nombre de victimes dans le monde, atteignant le chiffre stupéfiant de 4 368 cas.
 |
| Figure 1 : Victimes d’une année sur l’autre par trimestre |
Les montagnes russes depuis une croissance explosive en 2021 jusqu’à une baisse momentanée en 2022 n’étaient qu’un avant-goût : 2023 est revenue avec la même ferveur que 2021, propulsant les groupes existants et ouvrant la voie à une vague de nouveaux arrivants formidables.
 |
| Figure 2 : Nombre de victimes de ransomwares entre 2020 et 2023 |
LockBit 3.0 a conservé sa première place avec 1 047 victimes grâce au Boeing attaque, la Royal Mail Attack, et plus encore. Alphav et Cl0p ont obtenu beaucoup moins de succès, avec respectivement 445 et 384 victimes attribuées en 2023.
 |
| Figure 3 : Les 3 principaux groupes de ransomwares actifs en 2023 |
Ces 3 groupes ont largement contribué à l’essor des attaques de ransomwares en 2023, mais ils n’en sont pas les seuls responsables. De nombreuses attaques provenaient de gangs de ransomwares émergents tels que 8BaseRhysida, 3h du matin, Malaslocker, BianLianJouer, Akiraet d’autres.
Nouveaux arrivants dans l’industrie des ransomwares
Chez Cyberint, l’équipe de recherche est recherche constante des derniers groupes de ransomwares et les analyser pour déterminer leur impact potentiel. Ce blog se penchera sur 3 nouveaux acteurs du secteur, examinera leur impact en 2023 et approfondira leurs TTP.
Pour en savoir plus sur les autres nouveaux acteurs, téléchargez le rapport 2023 sur les ransomwares ici.
Rançongiciel à 3 heures du matin
Une souche de ransomware récemment découverte nommée 3AM est apparue, mais son utilisation a été limitée jusqu’à présent. En 2023, ils n’ont réussi à toucher qu’une vingtaine d’organisations (principalement aux États-Unis). Cependant, ils gagnent en notoriété grâce à un affilié de ransomware qui a tenté de déployer LockBit sur le réseau d’une cible en passant à 3 heures du matin lorsque LockBit était bloqué.
De nouvelles familles de ransomwares apparaissent fréquemment, et la plupart disparaissent tout aussi rapidement ou ne parviennent jamais à gagner du terrain de manière significative. Cependant, le fait que 3AM ait été utilisé comme solution de repli par un affilié de LockBit suggère que cela pourrait intéresser les attaquants et pourrait être revu à l’avenir.
Il est intéressant de noter que 3AM est codé dans Rust et semble être une toute nouvelle famille de logiciels malveillants. Il suit une séquence spécifique : il tente d’arrêter plusieurs services sur l’ordinateur compromis avant de lancer le processus de cryptage des fichiers. Une fois le cryptage terminé, il tente d’effacer les copies Volume Shadow (VSS). Les liens potentiels entre ses auteurs et des organisations de cybercriminalité connues restent flous.
 |
| Figure 4 : Fuite de données à 3 heures du matin |
Les activités suspectes de l’acteur malveillant ont commencé avec l’utilisation de la commande gpresult pour extraire les paramètres de stratégie appliqués sur l’ordinateur pour un utilisateur spécifique. Par la suite, ils ont exécuté divers composants de Cobalt Strike et ont fait des efforts pour élever les privilèges sur l’ordinateur à l’aide de PsExec.
Suite à cela, les attaquants ont effectué une reconnaissance via des commandes telles que whoami, netstat, quser et net share. Ils ont également tenté d’identifier d’autres serveurs pour un mouvement latéral à l’aide des commandes quser et net view. De plus, ils ont créé un nouveau compte utilisateur pour maintenir la persistance et ont utilisé l’outil Wput pour transférer les fichiers des victimes vers leur serveur FTP.
L’utilisation du script Yugeon Web Clicks de 2004 peut paraître déroutante à première vue. Cela soulève la question de savoir pourquoi un groupe émergent de ransomwares opterait pour une technologie aussi obsolète. Cependant, plusieurs raisons peuvent expliquer ce choix, notamment :
- Obscurité: Les scripts et technologies plus anciens peuvent ne pas être aussi communément reconnus par les outils de sécurité modernes, ce qui réduit la probabilité de détection.
- Simplicité: Les scripts plus anciens peuvent fournir des fonctionnalités simples sans les complexités souvent associées à leurs homologues modernes, facilitant ainsi le déploiement et la gestion.
- Excès de confiance : Le groupe peut avoir une grande confiance en ses capacités et ne pas voir la nécessité d’investir dans une technologie plus avancée, en particulier pour son site Web.
Il est essentiel de noter que ce choix expose le groupe à certains risques. L’utilisation d’une technologie obsolète présentant des vulnérabilités connues peut rendre leurs opérations vulnérables aux attaques externes, aux contre-mesures ou au sabotage potentiel d’autres acteurs malveillants.
Le choix du groupe de ransomware 3AM d’utiliser un script PHP obsolète témoigne de la nature imprévisible des cybercriminels. Malgré leur utilisation de souches avancées de ransomwares pour cibler les organisations, leur choix de technologies back-end peut être influencé par une combinaison de considérations stratégiques, de commodité et d’excès de confiance. Cela souligne l’importance pour les organisations de rester vigilantes et d’adopter une approche de sécurité globale, en reconnaissant que les menaces peuvent provenir de technologies de pointe ou obsolètes.
TTP connus
| Outils | Tactique |
| Développement des ressources | T1650 – Acquérir l’accès |
| Collection | T1560 – Archiver les données collectées |
| Impact | T1565.001 – Manipulation de données stockées |
| Collection | T1532 – Archiver les données collectées |
| Collection | T1005 – Données du système local |
Rhysida Ransomware
Le groupe de ransomware Rhysida s’est fait connaître en mai/juin 2023 lorsqu’il a lancé un portail de discussion d’assistance aux victimes accessible via son site TOR (.onion). Ils se présentent comme une « équipe de cybersécurité » agissant dans le meilleur intérêt de leurs victimes, ciblant leurs systèmes et mettant en évidence les vulnérabilités.
En juin, Rhysida a attiré l’attention après avoir divulgué publiquement des documents volés à la Chilean Arm sur son site de fuite de données. Le groupe a depuis gagné en notoriété grâce à ses attaques contre des établissements de santé, notamment Prospect Medical Holdings., ce qui a amené les agences gouvernementales et les sociétés de cybersécurité à les suivre de près. Ils ont ciblé plusieurs entités de premier plan, notamment la British Library, où ils ont provoqué une panne technologique majeure et vendu des informations personnelles volées en ligne, et Insomniac Games, un développeur de jeux vidéo appartenant à Sony. Ils ont démontré une large portée dans divers secteurs.
TTP connus
| Outils | Tactique |
| Augmentation des privilèges | T1055.003 – Détournement d’exécution de threads |
| Augmentation des privilèges | T1547.001 – Clés d’exécution du registre/dossier de démarrage |
| Augmentation des privilèges | T1055 – Injection de procédé |
| Augmentation des privilèges | T1548.002 – Contourner le contrôle des comptes d’utilisateurs |
| Évasion de la défense | T1036 – Mascarade |
| Évasion de la défense | T1027.005 – Retrait des indicateurs des outils |
| Évasion de la défense | T1027 – Fichiers ou informations obscurcis |
| Évasion de la défense | T1620 – Chargement de code réfléchissant |
| Évasion de la défense | T1564.004 – Attributs du fichier NTFS |
| Évasion de la défense | T1497-Virtualisation/Évasion du bac à sable |
| Évasion de la défense | T1564 – Masquer les artefacts |
| Découverte | T1083 – Découverte de fichiers et de répertoires |
| Découverte | T1010 – Découverte de la fenêtre d’application |
| Découverte | T1082 – Découverte des informations système |
| Découverte | T1057 – Découverte de processus |
| Découverte | T1518.001 – Découverte de logiciels de sécurité |
| Accès initial | T1566-Phishing |
| Collection | T1005 – Données du système local |
| Collection | T1119 – Collecte automatisée |
| Développement des ressources | T1587 – Développer les capacités |
| Développement des ressources | T1583-Acquérir une infrastructure |
| Exécution | T1129 – Modules partagés |
| Exécution | T1059 – Interpréteur de commandes et de scripts |
| Reconnaissance | T1595- Balayage actif |
| Reconnaissance | T1598-Phishing pour information |
Le groupe Akira
Le groupe Akira, a été découvert en mars 2023 et a fait à ce jour 81 victimes. Des recherches préliminaires suggèrent un lien étroit entre le groupe et le célèbre groupe de ransomwares Conti. La fuite du code source de Conti a conduit de nombreux acteurs malveillants à utiliser le code de Conti pour construire ou adapter le leur, ce qui rend difficile la détermination des groupes ayant des liens avec Conti et lesquels utilisent simplement le code divulgué.
Cependant, Akira fournit certains indices révélateurs suggérant un lien avec Conti, allant de similitudes dans leur approche au mépris des mêmes types de fichiers et répertoires, en passant par l’incorporation de fonctions comparables. De plus, Akira utilise l’algorithme ChaCha pour le cryptage des fichiers, mis en œuvre d’une manière similaire au ransomware Conti. Enfin, les individus à l’origine du ransomware Akira ont dirigé le paiement complet de la rançon vers des adresses associées au groupe Conti.
Akira propose un ransomware-as-a-service, affectant à la fois les systèmes Windows et Linux. Ils utilisent leur DLS (site de fuite de données) officiel pour publier des informations sur leurs victimes et des mises à jour concernant leurs activités. Les acteurs de la menace se concentrent principalement sur les États-Unis, bien qu’ils ciblent également le Royaume-Uni, l’Australie et d’autres pays.
Ils exfiltrent et chiffrent les données pour contraindre les victimes à payer une double rançon, à la fois pour retrouver l’accès et pour restaurer leurs fichiers. Dans presque tous les cas d’intrusion, Akira a capitalisé sur des informations d’identification compromises pour prendre pied dans l’environnement de la victime. Il est intéressant de noter que la plupart des organisations ciblées avaient négligé de mettre en œuvre l’authentification multifacteur (MFA) pour leurs VPN. Bien que l’origine exacte de ces informations d’identification compromises reste incertaine, il est possible que les auteurs de la menace aient obtenu un accès ou des informations d’identification à partir du dark web.
TTP connus
| Outils | Tactique |
| Exfiltration | T1567 – Exfiltration via service Web |
| Accès initial | T1566.001 – Pièce jointe pour le spearphishing |
| Exfiltration | T1041 – Exfiltration sur canal C2 |
| Exfiltration | T1537 – Transférer des données vers un compte cloud |
| Collection | T1114.001 – Collecte de courriels locaux |
| Impact | T1486 – Données chiffrées pour impact |
| Accès initial | T1566.002 – Lien de spearphishing |
| Exécution | T1059.001-PowerShell |
| Exécution | T1569.002 – Exécution des services |
| Découverte | T1016.001 – Découverte de connexion Internet |
| Accès initial | T1078 – Comptes valides |
| Augmentation des privilèges | T1078 – Comptes valides |
| Évasion de la défense | T1078 – Comptes valides |
| Persistance | T1078 – Comptes valides |
| Augmentation des privilèges | T1547.009 – Modification du raccourci |
| Persistance | T1547.009 – Modification du raccourci |
| Accès initial | T1190 – Exploiter une application publique |
| Évasion de la défense | T1027.001 – Remplissage binaire |
| Exfiltration | T1029 – Virement programmé |
| Exécution | T1059.003 – Shell de commande Windows |
| Accès initial | T1195 – Compromission de la chaîne d’approvisionnement |
| Évasion de la défense | T1036.005 – Correspondance avec un nom ou un lieu légitime |
| Augmentation des privilèges | T1547.001 – Clés d’exécution du registre/dossier de démarrage |
| Persistance | T1547.001 – Clés d’exécution du registre/dossier de démarrage |
| Exfiltration | T1020 – Exfiltration automatisée |
L’industrie des ransomwares est en plein essor et attire de nouveaux groupes audacieux qui cherchent à se faire un nom en développant des services et des outils de ransomware de haute qualité. En 2024, Cyberint prévoit que plusieurs de ces nouveaux groupes amélioreront leurs capacités et deviendront des acteurs dominants du secteur aux côtés de groupes vétérans comme LockBit 3.0, Cl0p et AlphV.
Lisez le rapport 2023 sur les ransomwares de Cyberint pour connaître les secteurs et les pays les plus ciblés, une répartition des 3 principaux groupes de ransomwares, les familles de ransomwares à noter, les nouveaux arrivants dans le secteur, les campagnes notables pour 2023 et les prévisions pour 2024.